DDoS contra Movistar.es ¿Causada o preparada?.


Se puede encontrar la siguiente información en securitybydefault.com con detalles del ataque dirigido a Movistar.es por parte de "Anonymus":

Desde la semana pasada Anonymous había convocado y anunciado un ataque de Denegación de Servicio para el domingo 26 de Junio a las 16:30 hora peninsular española. La causa, el despido salvaje que la multinacional española tiene previsto llevar a cabo, dejando en la cola del INEM a nada menos que 8.500 empleados a lo largo de los próximos cinco años.



Para ello, todos aquellos simpatizantes de Anonymous que estén de acuerdo con que es un hecho ante el que hay que manifestarse en contra (quién puede no estar en contra de una barbaridad así), apuntarían sus armas LOIC contra la web de movistar.es como señal de protesta en la fecha/hora señalada.

Evidentemente, los departamentos correspondientes de Movistar, también están enterados y deberían prepararse para el ataque.

Hace unos días, en lainformacion.com, publicaron un artículo en el que nos preguntaban a Chema Alonso y a mí sobre los ataques de Denegación de Servicio, su funcionamiento, y si existían contramedidas.

Aprovechando el hilo del correo que nos enviaban desde lainformacion.com, me estuvo contando Chema Alonso los mecanismos y dispositivos de los que dispone Telefónica/Movistar para mitigar o detener con efectividad este tipo de ataques de Denegación de Servicio.

Ambos coincidimos en que, ya sea usando Akamai como cache o Amazon EC2 como mecanismos de clústering, es posible lograr una protección efectiva (aunque bastante cara) para este tipo de ataques. La conversación con Chema quedó en un: "Bueno pues a ver si resiste Movistar ante la oleada de peticiones de este domingo".

Ayer por la tarde, a eso de las 18:00, la web de Movistar.es ofrecía en su momento de carga una página como el que veis bajo estas líneas:



Sin embargo, era la propia web de Movistar quien servía esta imagen, lo que quiere decir que NO estaba bajo una Denegación de Servicio en ese momento

A eso de las 18:00, contactaba con nosotros José Manuel Rodríguez, coordinador de Medios Sociales de lainformacion.com para conocer nuestra opinión para incorporarla al seguimiento del ataque.

Me gustaría ampliar lo que se publicó en el enlace anterior, ahora con más tranquilidad y detalle:

  • La resolución DNS de Ofertas de Internet ADSL, Móviles, Líneas y Televisión - Movistar devuelve una única IP: 81.47.192.13. Lo que indica un único punto de entrada a la web.
  • Está claro que Movistar no tiene un único servidor para atender las peticiones de Ofertas de Internet ADSL, Móviles, Líneas y Televisión - Movistar (y que mucho menos es una sola máquina), por lo que suponemos que será una IP de clúster de servidores, posiblemente nateados por un potente clúster de firewalls o más probablemente de balanceadores.
  • Si efectuamos una consulta a Ofertas de Internet ADSL, Móviles, Líneas y Televisión - Movistar desde el navegador utilizando Tamper Data para ver las cabeceras, se observa que una de las mismas que devuelve movistar.es, es "Via 1.1 proxy-srnav2np10" y "Proxy Agent Sun-Java-System-Web-Proxy-Server/4.0.2". Esto quiere decir que hay algún elemento intermedio que hace la petición por nosotros hasta el servidor web que corresponda. Esto puede ser un WAF, un balanceador, una caché o simplemente un proxy inverso.
  • Puede que hayan tenido alguna incidencia en alguno de los servidores web (por un excesivo número de peticiones o por cualquier otro motivo) y que mostrara un "sencillo error de página no encontrada" y que ciertas peticiones entraran y se sirvieran correctamente por un servidor que no mostrase problemas.
  • Otra forma de verlo es que la propia gente de Movistar modificó la web, de manera que en vez de tener que servir todos los contenidos de la web, ante una "legión" de peticiones de Anonymous, prefiriesen servir una única página con sólo un corto texto referido a un sencillo mensaje de error.
  • De esta manera podrían luego decir que el DDoS de Anonymous no tuvo efecto alguno en la infraestructura. Desde un punto de vista de pérdida de recursos, es cierto, las peticiones no fueron suficientes para colapsar el servicio web puesto que eran los servidores de Movistar los que servían la "página de error", teniendo recursos y ancho de banda suficiente para hacerlo. Si fuese un DDoS por agotamiento de ancho de banda, no habría respuesta. Sin embargo, puede haber sucedido que lo que haya muerto, sean las máquinas que haya detrás de los servidores web y que siempre devolvieran la página de error mencionada.
  • De todas formas, el efecto es el deseado igualmente, la web de Movistar no da el servicio informativo a sus clientes. Disclaimer: Al menos cuando yo probé, la web de Movistar contestaba a las peticiones, no se notaba ralentización en las conexiones ni que hubiera conexiones que no se llevaran a cabo. Quizá previamente sí que existiera este tipo de comportamiento.
  • Al rato de ponerme a mirar, la página principal se servía correctamente, sin embargo, si pulsabas en cualquiera de los enlaces, ibas a parar a la citada página de error.

En algunos medios de comunicación, se decía que la web de movistar.es había sido tumbada y había quedado inaccesible. La verdad es que yo no llegué a ver esa parte, sino que realmente los servidores de Movistar, contestaban correctamente, incluso bastante rápido. No pude comprobar si cacheaban contenidos en Akamai, como también se pudo leer por twitter, aunque no lo parecía.

En otros medios se indicaba que no había tenido tanta incidencia como se pretendía y que los mecanismos de defensa utilizados por Telefonica, habían sido efectivos.

La verdad, como en muchos otros casos, nunca la sabremos! Lo que está claro es que en Movistar estaban preparados para hacer frente a la cantidad de peticiones que se venían encima, aunque fuera suicidando el servicio ellos mismos (siempre y cuando mi razonamiento haya sido correcto) para evitar males mayores, como sucedió en el caso del DDoS a la SGAE el año pasado, deshabilitando la ruta. Para la siguiente las mejores opciones: Akamai, Amazon EC2 o CloudFlare como hizo Lulzsec.